阿里安全潘多拉實驗室龍磊：越獄 iOS 11.2，選了一條最難走的路

本文轉載自雷鋒網，原標題為《「黑客」龍磊：越獄 iOS 11.2，我選了一條最難走的路》

蘋果越獄不好搞，但他們居然兩個月內針對三個最新版系統「越」了三次，這就很神奇了。

「他們」就是阿里巴巴的潘多拉實驗室。

潘多拉實驗室於 2017 年成立，此前僅在阿里先知創新大會上露過一次面，其安全研究員用視頻演示了安卓8.0 的 Root 提權和 iOS 11.1 的完美越獄。

12 月 13 日，阿里安全潘多拉實驗室稱，已經完美越獄蘋果 iOS 11.2。一天後，在蘋果發布了 iOS 11.2.1之後的數小時內，他們又演示了針對該版本的完美越獄。

「完美越獄」是有技術含金量的。「非完美越獄」後的手機一旦重啟，你就得重新手動操作一遍越獄流程，有點像「一次性」越獄。而完美越獄可在重啟手機後，還能自動執行越獄代碼，在重啟前完成越獄。

人前厲害、風光，人後的苦可能只有研究者自己知道。

潘多拉實驗室 iOS 11.2 的越獄作者龍磊表示， 2015 年初步研究蘋果越獄時，十分孤獨。有意思的是，上一個對雷鋒網宅客頻道表達這種憂思的是騰訊科恩越獄了 iOS 11.1. 1 系統的著名黑客陳良。「越獄期間我買了一個小酒壺，鬱悶時候喝兩口，偶爾還能激發別的思路。」陳良說。

龍磊經歷思路受阻，睡不著覺時，會喝兩口意式濃縮，看看越獄和咖啡，到底哪一種更苦。

從「越獄生態」到「越獄蘋果」

龍磊不是一開始就選擇研究蘋果越獄的。確切來說，一開始他想專職研究蘋果系統越獄，但沒敢。

「不敢」是有原因的。

2011 年，龍磊加入了騰訊手機衛士團隊。當時，他在騰訊做的是越獄環境下的應用。。比如，蘋果手機越獄後可以在非官方店下載第三方應用，他做的就是與第三方應用和生態相關的事情。2014 年 6 月，龍磊從騰訊離開時，中國還沒有人成功實現蘋果手機越獄。

在此之前，要去探索一座國人尚未涉獵過的高峰，不知道前方能否有所收穫，可能需要積累勇氣。不過，這並不妨礙他在工作之餘自學越獄技術。

環境推了龍磊一把。

從友盟發布的數據看，越獄 iPhone 在手機總數中所佔的比例從 2013 年第一季度時的 35% 下降到了當年年底時的 12% 。從 2013 年年底開始，越獄 iPhone 所佔的比例穩定在了 10%-15% 之間。

「越獄的生態越來越萎縮，蘋果生態研究變得沒有那麼有市場，感覺掉轉方向的時機可能到了。」龍磊說。

2014 年 6 月，龍磊決定離開，去探尋可能可以追逐最初夢想的機會。

不料，6 月 24 日，中國有個叫做「盤古」的越獄團隊與知名的第三方市場 PP 助手聯合發布了國內首款 iOS7.1.1 完美越獄工具「盤古」。

龍磊看到這則新聞時，感到又驚喜又緊迫。

此時，他已經打算進入阿里巴巴的移動安全團隊，準備探索 iOS 系統的不足——這個看上去離原來的興趣更近一點了。但他依然沒敢「正大光明」地宣告自己要越獄，還在積累技術。直到 2014 年底，龍磊覺得自己的技術「差不多了」，他所在的部門也很支持這件事。他覺得「越獄」這件事可以搞了。

選擇研究「工具」還是「系統」

不過，事情沒有那麼順利。

2015 年，龍磊陸續向蘋果提交了一些漏洞，並帶著自己關於構建通用漏洞挖掘工具的思路《Optimized fuzzing IOKIT in iOS》在世界著名黑客大會 Blackhat 2015 上進行了分享。台下，他還與蘋果公司的工作人員聊了很多關於蘋果系統機制的問題。

看上去順風順水。但是，一個念頭閃了過來，龍磊突然覺得自己可能走岔了路。

龍認為，自己在通用的漏洞挖掘工具上投入了太多精力，卻忽略了對蘋果安全機制本身的研究。

2017年 12 月 18 日，龍磊和潘多拉實驗室負責人宋楊坐在雷鋒網宅客頻道面前時，是這樣反思的——「對於蘋果安全機制的研究恰恰是最重要的。」宋說，龍磊在以前阿里內部的經驗分享上，還著重介紹了蘋果越獄的兩個技術流派：「氣宗」和「劍宗」。

其實，這就是安全圈挖掘漏洞的兩種主流的方式。第一種，開放通用的漏洞挖掘工具。第二種，完全不用工具，靠研究人員去做分析、看代碼。

龍說，不能說哪種方法更好。如果面對是成熟度比較低的代碼，使用漏洞挖掘的工具效率可能會更高，但如果面對的是 iOS 內核級的漏洞，它的代碼過了很多年以及無數安全研究員的檢驗，代碼發展已經變得非常穩定，這種情況下，通過深入分析和工具，效果會更好。

顯然，龍磊認為，工具並不是自己朝蘋果越獄前進最重要的東西，理解 iOS 系統，研究它的安全機制，才是驗證蘋果系統是否有「缺口」的關鍵所在。

這也是後來潘多拉實驗室一直沒有發布越獄工具的原因之一，宋楊認為，發布工具不是他們的目的，他們的初衷還是檢測蘋果系統是否「足夠安全」，從攻擊視角提升移動生態安全的水位。

挑戰最難的模塊，恰恰是最快的路

2016 年是龍磊最「痛苦」的一年。

及時調整方向後，原來的老搭檔也來到了阿里，龍磊與他一起全身心地投入了蘋果系統的深入研究與分析，並嘗試用新思路來做這件事。

很快，他們完成了第一次越獄。但是，龍磊等人的喜悅並沒有維持多久，蘋果就進行了一次安全升級，這次的越獄馬上失效了，龍磊等人研究出來的「越獄有效時間」只有 3 個月。「當時，我感受到了很強的挫敗感，自己投入了很長時間研究的東西，蘋果發布一個安全修補升級後，我們的努力一下子從100分降到了0分。」龍磊說。

隨後的一年裡，他們都在找漏洞—完成越獄—漏洞被蘋果修補這三種狀態間來回切換，龍磊等人與蘋果玩著「貓捉老鼠」的遊戲，一時間無法找到穩定的越獄方法，十分焦慮。

直到 2017 年，隨著其研究的深入和經驗的積累，龍磊等人才可以做到比較快速地應對蘋果的安全升級，並且保持越獄的能力。

龍磊沒有透露此次越 iOS 11.2 的手法。但雷鋒網了解到， iOS 11.1 包含有存在缺陷的、可以被繞過的 SMAP 機制。蘋果在 iOS 11.2 中修復了這個漏洞，迫使研究人員尋找其他繞過 SMAP 的方法。此次越獄 iOS 11.2 則利用了一個內存緩衝區溢出漏洞，觸發內核錯誤。

龍磊告訴雷鋒網，如果沒有意外，他們走出來的「這條大道」在接下來蘋果要發布的新版本中，大概率還能走得通。

他總結了一個經驗：「以前出過安全問題的一些模塊更有可能產生安全問題。但是業界對這些模塊的關注度是一陣一陣的。比如，有人這一年關注這個模塊，下一年關注另外一個模塊，但我可能會選擇回退好幾年，去看大家曾經關注過的模塊，那些看上去成熟度已經非常高的模塊一旦找到漏洞，或者安全機制上的問題，就不那麼容易被修補。」

不追熱點，能回頭反思，找成熟度最高的模塊下手，挑戰看上去最不可能的路，對龍磊而言，恰恰是走得最快的那條路。